| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
- rpc
- UI
- gas
- 언리얼엔진
- animation
- Multiplay
- unity
- stride
- 언리얼 엔진
- linear regression
- listen server
- C++
- Replication
- 게임개발
- photon fusion2
- gameplay effect
- local prediction
- 유니티
- Unreal Engine
- os
- MAC
- CTF
- attribute
- 게임 개발
- gameplay tag
- Aegis
- gameplay ability system
- widget
- 보안
- ability task
- Today
- Total
Replicated
DevSecOps, 역할 별 보안 활동, Best Practices 본문
DevOps (Dvelopment / Operation)
- 개발팀과 운영팀 간의 협업을 중시하는 문화 & 방법론
- 시장 출시 시간 단축, 지속적인 피드백 및 개선, 안정성과 신뢰성 향상
- 필요 요소: 자동화, 도구 및 기술, 협업 문화, 측정 및 모니터링
DevSecOps (Development / Security / Operation)
- 개발, 보안, 운영을 통합한 방법론
- DevOps에 보안을 초기 단계부터 통합 ., 소프트웨어 개발 생명 주기 전반에 걸쳐 보안을 강화하는 접근 방식
- 개발, 보안, 운영 간의 긴밀한 협업의 문화 조성 필요
- 점진적 도입, 자동화 진행
역할 별 보안 활동
프로젝트 관리자 (Project Manager)
- 보안 요구사항과 활동이 프로젝트 전반에 걸쳐 적절히 계획되고 실행되도록 관리, 조정하는 책임을 수행하고 구성원에게 보안의 중요성 및 비즈니스와 보안 위험의 상관관계 등을 이해시킴
- 보안 요구사항을 고려한 프로젝트 계획 수립
- 보안 위험 평가 및 관리
- 보안 활동 진척도 모니터링
- 보안 활동에 필요한 자원 할당
요구사항 분석가 (Requirement Specifier)
- 비즈니스, 법적, 기술적 관점에서 보안 요구사항을 수집, 분석하고 명세화하여 프로젝트의 보안 기준을 확립
- 프로젝트 전반에 대한 보안 요구사항 수집 및 분석
- 법적 / 규제와 관련된 보안 요구사항 식별
- 보안 요구사항 검증 기준 정의
아키텍트 (Architect)
- 시스템 전반의 보안 아키텍처를 설계하고 보안 통제 방안을 정의하여 전체 시스템의 보안성을 확보하는 역할을 수행
- 시스템에 사용되는 모든 리소스를 자세히 정의
- 시스템에서 각각 리소스에 대한 적절한 보안 요구사항 정의
- 보안 아키텍처 설계 및 검증
- 보안 프레임워크를 선정
- 보안 기술 표준을 수립
설계자 (Designer)
- 정의된 보안 요구사항을 바탕으로 상세 보안 통제 메커니즘과 컴포넌트를 설계
- 컴포넌트 수준 위협 모델링
- 보안 설계 문서 작성
- 설계된 보안성 검토
개발자 (Implementer)
- 보안 설계에 따라 시큐어 코딩 가이드라인을 준수하며 보안 기능을 구현하고 보안 취약점을 제거한다
- 보안 취약점 수정 및 코드 보안성 검토
- 단위 보안 테스트
- 보안 관련 문서화
- 보안 패치 및 업데이트
테스트 분석가 (Test Analyst)
- 구현된 시스템의 보안 요구사항 충족 여부와 보안 취약점을 체계적으로 테스트하고 검증
- 보안 테스트 계획 수립 및 테스트 케이스 개발
- 침투 테스트 수행
- 보안 테스트 결과 분석 및 문서화
보안 감사자 (Security Auditor)
- 개발 프로세스와 산출물이 보안 정책과 표준을 준수하는지 독립적으로 평가하고 개선 사항을 제시
- 보안 정책 준수 여부 감사
- 보안 통제 효과성 평가
- 보안 위험 평가를 수행하고 개선사항 권고
- 보안 가사 보고서를 작성하고 추적성 확보
Best Practices
B1. Identify security requirements
- 초기 계획 단계에서 어플리케이션에 대한 보안 요구 사항 식별
B2. Design for security
- 구현 오류의 가능성은 설계 복잡성과 함께 증가 => 단순한 설계를 목표
- 보안 정책 구현 및 보안 원칙 준수를 위한 위한 소프트웨어 설계
B3. Perform threat modeling
- 위협 모델링을 통한 잠재적 위협 분석
B4. Perform secure implementation
- 사용 언어에 대한 코딩 표준 준수
B5. Use approved tools and analyze third-party tools' security
- 승인된 도구, API 및 프레임워크 사용
B6. Include security in testing
- 기능 및 보안 테스트를 통합하여 수행
B7. Perform code analysis
- SAT와 같은 자동화된 도구를 활용
B8. Perform code review for security
- 코드 리뷰 시 보안을 포함
B9. Perform post-development testing
- 동적 분석, 침투 테스트 및 외부 보안 검토자를 고용
B10. Apply defense in depth
- SDLC의 모든 단계에서 보안을 검토
B11. Recognize that defense is a shared responsibility
- 설계자, 개발자 및 테스터의 공동 책임
B12. Apply security to all applications
- 모든 어플리케이션에서 보안에 대한 중요도 인지
'학부 > 소프트웨어 보안개발방법론' 카테고리의 다른 글
| ZTA와 경계 기반 보안 모델 (0) | 2025.06.12 |
|---|---|
| 보안 위협 완화 전략 (0) | 2025.06.12 |
| Seven Touchpoints, CLASP (0) | 2025.06.12 |
| MS-SDL (0) | 2025.06.12 |
| 위협 모델링 프로세스 (0) | 2025.06.12 |